※ 引述《TZUYIC (Je T'aime Celine)》之銘言： : 標題: [情報] 國泰世華─認證密碼鎖OTP 預購送轉帳免費 : 時間: Sat Sep 22 18:29:17 2012 : : 國泰世華網路銀行即將推出非約定轉帳服務，可是…要錢，而且還不便宜，怎麼這樣呀！ : 為何不用簡訊動態密碼（簡訊OTP）或金融卡驗證機制，一樣很安全，重點是對客戶來說 : 比較便宜啊～ Orz : 國泰世華出的這個認證密碼鎖OTP超大臺的，比渣打密碼保鑣或滙豐加密小精靈還大支。 : : 活動網頁：http://tinyurl.com/8rmlzs9 : : 推 gottsuan:這個產生OTP時可以有密碼保護 還有OTP可以簽交易資訊 09/23 15:02 : → gottsuan:比只有單鍵的安全很多 HSBC最就一兩年也逐步全換成這種了 09/23 15:03 : → gottsuan:單鍵OTP不能簽交易資訊的OTP不夠安全 不能防中間人和木馬 09/23 15:04 : → gottsuan:作假交易 要可以簽交易資訊的OTP才能防 09/23 15:04 : 推 gottsuan:簽交易資訊就是你在產生OTP時先輸入交易帳號密碼之類的 09/23 15:43 : → gottsuan:產生出來的動態密碼和你輸入的帳號金額有關 這樣就算OTP 09/23 15:43 : → gottsuan:被中間人或木馬偷走拿去用 因為這個OTP只適用特定一筆交 09/23 15:44 : → gottsuan:意 所以拿去用在假交易驗證會失敗 09/23 15:44 : → gottsuan:如果是單純的OTP OTP被中間人木馬偷走 拿去用在他作的假 09/23 15:44 : → gottsuan:交易驗證會成功 因為OTP本身是對的 09/23 15:45 : → gottsuan:手誤 是說書入交易帳號金額等和交易直接相關的資訊 09/23 15:45 : → gottsuan:其實現在網銀也有不少中間人 木馬程式作假交易偷錢的案例 09/23 15:49 : → gottsuan:所以才有愈來愈多銀行用這種OTP產生器 09/23 15:50 簡訊OTP真的不安全? 假設我 10:00 做了一筆 1 萬元的交易 A, 銀行端傳了一封簡訊OTP X 過來(時效300秒) 並且在 10:02 又做了一筆 2 萬元的交易 B, 銀行端傳了一封簡訊OTP Y 過來(時效300秒) 請問: 我可以用 "簡訊OTP Y" 去執行 "交易 A" 嗎? 或是我可以用 "簡訊OTP X" 去執行 "交易 B" 嗎? 如果可以, 那簡訊OTP就真的有被中間人偷走的可能~ 如果不行, 那就算簡訊OTP被中間人偷走, 不也是無法交易? -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 111.252.20.176 　　所以中信的簡訊OTP看起來很安全囉~ 　　只要手機有在身邊, 交易就沒煩惱了... 　　所以我上篇推文 "密碼保鑣這類OTP算是上一代產品" 也沒什麼錯 　　國泰世華這種可以輸入交易資訊的, 算是 "密碼保鑣升級版" ... ※ 編輯: colinwu 來自: 36.232.157.241 (09/23 21:01)